サイボウズは1月28日、サイボウズ脆弱性報奨金制度についての説明会を開催し、2015年の制度で約600万円の報奨金が支払われる予定を公表した。
26名のバグハンターによって116件の脆弱性が認定され、45件は改修済
サイボウズでは同社のクラウドサービスの品質向上を目的とした「cybozu.com Security Challenge」を2013年に実施し、2014年からは本番環境と物理的に隔離した脆弱性検証環境の常設提供や脆弱性報奨金制度を始めている。
現在、検証環境を継続的に利用されている研究者は47名。2015年の脆弱性報告は26名から総計238件の連絡を受け、説明会までに116件を脆弱性(うち深刻度の高い脆弱性1件)として認定した。報奨金は約600万円(確定約400万+現在評価中の脆弱性78件から50件程度が認定される見込み)が支払われる。
|
|
サイボウズの脆弱性検証のために検証環境を提供中 |
報奨金は約600万円が支払い予定 |
説明会では、サイボウズCSIRTの窓口業務を行っている伊藤 彰嗣氏が報奨金制度の説明会を行った。サイボウズではプログラマーにセキュア開発トレーニングを行ったり、リリース前に社内テストを行っている。
それでも見つけきれない未知の脅威が存在する事に加え、外部から「〇〇は脆弱性」と指摘されることで「社内では脆弱性ではないと判断していたものを脅威として認識することがある」と同制度の意義を説明する。
|
|
サイボウズ グローバル開発本部 品質保証部の伊藤 彰嗣氏 |
自社サービス・製品の品質を向上させるために2013年のコンテストを経て2014年からほぼ通年で報奨金制度を実施 |
|
|
|
当然ながら自社でもプログラム、運用、QC共にセキュアにする試みは行っているが(左)、それでも外部の目が入ることでより広い未知の脅威を既知にすることが可能だ |
|
2015年のルールではCVSS v2に基づき脆弱性を判断し、基本値が7.0以上の場合は数値×3万円、6.9以下の場合は数値×1万円。Webサイトの問題は一律1万円とし、特別ルールとしてCVSS v2基本値が5.0のXSS脆弱性は10万円、基本値が6.5を超えるSQLインジェクションは数値×3万円が支払われる。
昨年の結果との比較では、おおよそ同程度の脆弱性が発見(認定作業が完了していない)されたが、深刻度の高い脆弱性が1件と激減する一方で、外部通報の脆弱性のうち、改修完了案件がまだ45件と2014年の81件よりも少なくなってしまったため、これが「今後の課題」という認識を示している。
遅れの原因は、「XSSやSQLインジェクションなどのわかりやすい脆弱性が減った」ことだそうで、不適切な入力確認などの抽象度の高い報告が増えたという。そのため、報告者と連絡を繰り返さないと判断できないケースが増えたことを挙げていた。
|
|
2015年の報奨金制度の概要。今年は若干の手直しが入る |
今年は現在認定の脆弱性が116件だが、おそらく50件ほど増える見込みなので全体としては昨年並みの脆弱性が発見された。製品反映がまだ少ないのが現在の課題 |
|
|
2014年の発見数TOP3はXSS、環境設定、許可、権限・アクセス制御で半分以上がXSS。このためスペシャルルールが追加された |
2015年の発見数TOP3は不適切な入力確認、XSS、環境設定となり、XSSの発見は半減し、SQLインジェクションの外部発見はなくなった |
|
単純な脅威ではなく、抽象的・複雑な脅威が増えたという。これは認定期間の増大という結果も招いている |
また、2016年ルールの説明も行われた。対象サービスに、モバイルサービス(サイボウズoffice新着通知/サイボウズLive Timeline)と周辺サービス(サイボウズDesktop Win/Mac)を加えるほか、脆弱性の評価方法をCVSS(Common Vulnerability Scoring System) v3に移行して深刻度判定が5段階に増加した。
新たに加わった「緊急」の深刻度(基本値9.0-10.0)に関しては数値×5万円に増額する。ただし基本値が6.9以下のSQLインジェクションは、数値×3万円のみと設定した。
|
2016年の脆弱性報奨金制度の変更。まず深刻度評価をCVSS v3に移行 |
|
|
CVSS v3で深刻度に重要の上の緊急が追加されたので、これに対する報奨金を設定。緊急の脆弱性が発見された場合45~50万円の報奨金が支払われることになる |
このスライドには明記されていないが、対象となるクラウドサービスも追加されている |
バグハンターによる説明も
|
NTTコムセキュリティの東内 裕二氏。伊藤氏によると、思ったよりもセキュリティベンダーの人が多く登録しているという |
当日は「バグハンター感謝祭」も兼ねており、9名のバグハンターが参加。NTTコムセキュリティの東内 裕二氏がライトニングトークを行った。東内氏は2014年にサイボウズの脆弱性を報告したものの、有用と判断されなかった。一方で、「cybozu.comバグハンター合宿」に呼ばれたという。
合宿では、ほかの参加者がアクセス制御不備を見つけていたので、そこに着目。ユーザーAで作成したものが(権限のない)ユーザーBでアクセスできるかどうかの作業を行ったところ、8件のアクセス制御に関する脆弱性を発見し、うち6件が現在までに認定されたそうだ。
アクセス不備の脆弱性は現実的な攻撃に結び付く可能性がある一方で、脆弱性なのか仕様なのか判断しにくく、機械的な診断で見つけにくい。総当たりで試す必要があるが、自動化しにくい上に単純作業のため、モチベーション向上が今後の課題だという。
|
|
伊藤氏からは事前に受け付けていた質問の回答も。「回答が遅くなった」と言う質問は逆に言えば1人のバグハンターが複数の報告をしていることを意味する |
遅いのは緊急度に関わらず、対応が受け付け順だったのと複雑な状況でやり取りが多くなり、評価や部署間の調整に時間がかかっていたため |
|
|
|
社内リソースの強化も行ったが、脆弱性の報告には「わかりやすく再現しやすい報告」と「ここが脆弱性と判断する理由」が欲しいそうだ |
|
